《工业互联网安全测试技术:Siemen扫描.docx》由会员分享,可在线阅读,更多相关《工业互联网安全测试技术:Siemen扫描.docx(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Siemen扫描实验原理此实验主要内容是掌握Siemen工控协议的基础知识,Siemen仿真软件的使用,以及利 用Nmap通过扫描Siemen协议获取设备的信息,利用wireshark抓取并分析Siemen协议的 流量。实验目标(1)掌握Siemen协议的基本知识(2)学会Siemen仿真软件的使用(3)学会使用Nmap对Siemen协议进行扫描(4)学会使用wireshark抓取并分析流量实验环境1 .实验时硬件环境:4核CPU、4G内存、150G硬盘2 .实验环境:windows虚拟环境(主机)、S7仿真软件虚拟化3 .需要能够支持系统连接网络的网络环境建议课时数4个课时实验步骤任务一 S
2、7仿真软件的使用S7通信协议是西门子S7系列PLC内部集成的一种通信协议,是S7系列PLC的精髓所 在。它是一种运行在传输层之上的(会话层/表示层/应用层)、经过特殊优化的通信协议,其 信息传输可以基于MPI网络、PROFIBUS网络或者以太网。S7通信协议的参考模型见下面的 表格:层OSI模型S7协议7应用层S7ffl(g6表示层信5会话层S7ffl信4传输层ISO-ON-TCP(RFC 1006)3网络层IP2数据链路层以太网/FDL/MPI1物理层以太网/RS485/MPIS7通信支持两和式:1)基于客户端(Client) /服务器(Server)的单边通信;2)基于伙伴(Partner
3、) /伙伴(Partner)的双边通信;客户端(Client) /服务器(Server)模式是最常用的通信方式,也称作S7单边通信。在 该模式中,只需要在客户端一侧进行配置和编程;服务器一侧只需要准备好需要被访问的数 据,不需要任何编程(服务器的服务功能是硬件提供的,不需要用户软件的任何设置)。 什么是客户端(Client)呢?客户端其实是在S7通信中的一个角色,它是资源的索取者;而 服务器那么是资源的提供者。服务器(Server)通常是S7-PLC的CPU,它的资源就是其内部的 变量/数据等。客户端通过S7通信协议,对服务器的数据进行读取或写入的操作。常见的客 户端包括:人机界面(HMI)、
4、编程电脑(PG/PC)等。当两台S7-PLC进行S7通信时,可以 把一台设置为客户端,另一台设置为服务器。(这种设置的具体方法我们会在本教程的后续 文章中介绍。)其实,很多基于S7通信的软件都是在扮演者客户端的角色。比方OPCServer, 虽然它的名字中有Server。但在S7通信中,它其实是客户端的角色。客户端/服务器模式的 数据流动是单向的。也就是说,只有客户端能操作服务器的数据,而服务器不能对客户端的 数据进行操作。有时候,需要双向的数据操作,这就要使用伙伴(Partner) /伙伴(Partner) 通信模式。步骤L使用S7采集仿真软件设备制作S7协议流量(1)翻开S7仿真软件cli
5、entdemo, exe。这个软件是一个模拟S7协议的仿真软件。(2)配置s7仿真软件,此处的IP指的是开启serverdemo.exe程序的主机IP为 10,166.253,185,如下列图所示:o彳 Snap7 Client Demo - Windows platform 32 bit LazarusIP Rack/Slot TSAPIP Rack/Slot TSAPDisconnectRead SZLSyit2 Info Data read/vriteAsync ModePoingJlot_。Event2。CalbackDat/TisMulti read/rite DirectoryPD
6、U Size (byte)480Whats the smartfeature )Which parameters should I use fbr the connection?ControlBlock - Up Download Block - DB Get FillCatalogOrder codeES7 315-2EH14-0AB0VersionUnit InfoModule Type NaseSerial nuaberVendor copjTrirhtAS XaneModule NareCPU 315-2 PN/DPS C-C2UR2S922012Original Siemens Eq
7、uipmentSNAP7-SERVERCPU 315-2 PN/DPGet System Info6 msOKConsume at ion ZnfoIf TSAP Tab is used for the connection, The systen Info is not called autosatically (you should press the button Refresh This bcaus sos PLC (S7200/LOCO don t offr ths inforaations.Max PDU size (byte2048Max active connections10
8、24Max MP: rate (bps12000000Max con bus rare (bps)187500(3)点击启动serverdemo.exe程序,如下列图所示: Snap7 Server Demo - Windows platform 32 bit LazarusLocal AddressLocal AddressLog MaskDB 1D62DB3Start00000000000000 OK 如下图的提示,那么说明连接 成功。彳 Snap7 Server Demo - Windows platform 32 bit LazarusLocal AddressLocal Addres
9、s110.166.253.而evcServerStarced:500000001evcServerStopped:500000002evcListenerCannotStart ::$00000004evcClient Added:500000008evcClientRejected:$00000010vcClientNoRoom:500000020evcClientException:$00000040vcClientDiconn*ctd:$00000080vcClientTeminated:$00000100vcClincsDroppd:$00000200evcReserved_0400:
10、$00000400evcReserved_0800:$00000800evcReserved 1000:$00001000Log Mask DB 1 D6 2 DB 3evcReserved 2000: $00002000evcReserved_4000 evcReserved_8000 evcPDUincoming evcDataead evcDataWrite evcNegotiatePDU evcReadSZL evcClock evcUpload evcDirectory evcSecurxty evcControlevcReserved_04000000 evcReserved_08
11、000000:500004000:$00008000:$00010000:$00020000:$00040000:$00080000:500100000:$00200000:$00400000:$00800000:$01000000:502000000:$04000000:$080000002021-11-20 11:08:22 Server Cannot start listener - Socket Error : TCP 2021-11-20 11:08:39 Server Cannot start listener - Socket Error : TCP 2021-11-20 11:
12、08:53 Server started2021-11-20 11:08:22 Server Cannot start listener - Socket Error : TCP 2021-11-20 11:08:39 Server Cannot start listener - Socket Error : TCP 2021-11-20 11:08:53 Server started:Can*t assign requested :Can*t assign requestedaddress address2021-11-202021-11-202021-11-202021-11-202021
13、-11-202021-11-202021-11-202021-11-202021-11-202021-11-2011:13:4311:13:4311:13:4311:13:4311:13:4310.1.253.185 Client added10.166.253.18510.166.253.18510.166.253.18510.166.253.185The client requires a PDU size of Read SZL request, ID:0x0011 INDEX: Read SZL request, ID:0x001c INDEX: Read SZL request, I
14、D:0x0131 INDEX:480 bytes 0x0000 OK 0x0000 OK 0x0001 OKRunring Clients : 1TCP : Cant assign requested address(3)通过以上步骤就完成了 S7仿真的配置,也就制作出了 S7协议流量。任务二 使用Nmap工具对S7协议进行扫描步骤1.使用S7-info.nse脚本对S7进行扫描(1)先确定要扫描的S7协议对应的主机IP是多少,也就是运行serverdemo仿真软件的主机IP,通过在命令行中输入ipconfig命令确定IP地址,例如:ipconfigC:UserssyyipconfigWind
15、ows IP 配置 以太网适配器以太网:媒体状态:媒体已断开连接连接特定的DNS后缀:无线局域网适配器本地连接* 2:媒体状态:媒体己断开连接连接特定的DNS后缀:无线局域网适配器本地连接* 3:媒体状态:媒体己断开连接连接特定的DNS后缀:以太网适配器 VMware Network Adapter VMnetl:连接特定的DNS后缀:本地链接 IPv6 地址:fe80: e 178: dddO: ea38:1 c08%6IPv4 地址:192.168.157.1子网掩码:默认网关:以太网适配器 VMware Network Adapter VMnet8:连接特定的DNS后缀:本地链接 IPv
16、6 地址:fe80: f078:9068: 2fd7:26a4%2IPv4 地址:192.168.17.1子网掩码:默认网关:无线局域网适配器WLAN:连接特定的DNS后缀:本岫蚌榜IPv6岫址:fa80:85da:804:1f3f:b6c4%llIPv4地址:10. 166. 253 185丁网施附:zob. zoo.u默认网关:10. 166. 255. 254这样就获得了本机的IP地址。(2)通过使用S7-info.nse脚本对该主机IP的S7协议进行扫描,输入如下命令例如: nmap -p 102 C:Userssyynmap -p 102 -Starting Nmap 7. 92 (
17、 . org ) at 2021-11-20 11:20 中国标准时间 Host is up (0.00s latency).PORT STATE SERVICE102/tcp open iso-tsapS7-info:Module: 6ES7 315-2EH14-0AB0Basic Hardware: 6ES7 315-2EH14-0AB0Version: 3. 2. 6System Name: SNAP7-SERVERModule Type: CPU 315-2 PN/DPSerial Number: S C-C2UR28922012_ Copyright: Original Siemen
18、s EquipmentService Info: Device: specializedVmap done: 1 IP address (1 host up) scanned in 1. 40 seconds因为使用的是S7-info脚本对S7协议进行的扫描,所以需要一script S7-info参数,因为S7 使用的是102号端口,所以需要参数-p 102 ;得到的扫描结果如上图所示。任务三使用wireshark抓取并分析流量步骤1. Wireshark分析S7流量(1)点击运行wireshark软件,得到如下列图的界面:4 Wireshark网络分析器一 口文件(F)编辑(E)视图(V)纸
19、(G)捕获(C)分析(A)统计 (Y)无线(W)工具(T)帮助(H)4 _图-.J Q 士 鳖济二 三 Q4口,|应用显示过滤器 nicdtion)584 28.751405S7coMM77 WSCTR:userdata Function:(Request) - CPU functions - Read SZL ID-0x0eil Index-0x000O586 28.7MSMS7C0MH19/ KOSCtR: inerddtd r unction:Kesponse (CPU functions) Read SZt 30*0011 1ndex-Ox00OO588 28.75417557coMM
20、77 ROSCTR:userdata Function:(RequestJ - (CPU functions) - Read SZL ID-0X001C Index-0x6000590 28.754272S7CCMM425 ROSCTR:Userdata function:(Response - CPU functions - Read SZL 1D-Ox001c Xndex*GxOOOO592 28.76046857coMM77 ROSCTR:Userdata Function:(Request - (CPU functions - Kead SZL XD-exO131 Index-OxTO
21、Ol594 28.760571S7coMM125 ROSCTR:userdata Function:(Response - CPU functions - Read SZL 10x9131 Index=ex0001Fraoe S90: 425 bytes on wire (34ee bits), 4?5 bytes captured (M60 bits) on interface DeviceNPF_loopback, id 9 Null 八 oopbkTransmission Control Protocol, Sz Port: 1G2, Dst fort: 22575, Seq: 263,
22、 Ack: 114, Len:将 1TPKT, version: 3, length: 381ISO 807)/X.224 COTP Connoction Oriented Transport Protocol ,v S7 CoMunicationv header: (Userdata)Protocol Id: 0x32KOSCTR: Userdata (7)Rvdund4ncy Identification (R5prvd): 0x0000 Protocol Data Unit Reference: 1536 Parameter length: 12 Data length: 3525 NA
23、P7-SERCPU 315rirhajt_in*PjLcojb*ckSY17Cl. pc3B/X/ H驼N0000000000000000 e243s0 55 20 33 31 35Parameter: (Response) -(CPU functions) -(Read SZL) Data (5ZL-ID: 0x001ct Index: 0x0000)呢!! : Default(4)分析s7流量从下列图中可以看出S7通信的Header中的字段和数据有,Protocol Id协Dst:Port: 22575, Seq: 203, Ack: 114, len: 381Dst:Port: 2257
24、5, Seq: 203, Ack: 114, len: 381议 id 为 0X32, ROSCTR 字段的值为 Userdata (7), Redundancy Identification (Reserved): 0x0000, Protocol Data Unit Reference: 1536, Parameter length: 12, Data length: 352O00 a647 fe12 004500 a647 fe12 004500 b9 5645 0a50 0700 0a0000 a618000000005b6674 00 ff70 00 00 00 00 00 00 0
25、0 00 02 4300 2f 0001 01 3700 55064800000053000087010100 f87d1200 52 00 35GGAVP .”S NAP7TER VER-CPU 315rirefhwk.IPF.LoopbickSTWYCL pcapng分组:85 fifir: 8 CPU functions - Read SZlFunction:Response - CPU functions - Read SZLFunction:Request - CPU functions - Read SZl10=0X0011ID0X0011IO=0X001CIndex=0x0eeIndex=Ox000O Index=0x0000596 28.754272S7coMM425 ROSCTR:userdataFunction:(Response - CPU functions - (Read SZLID=0X001CIndex=8x0000592 28-760468594 28.760571S7C0MMS7C0MM77 ROSCTR:(userdata125 ROSCTR:UserdataFunction:Request - CPU functions - (Read SZL